EP3308278B1

EP3308278B1 - Procédé de mise à jour de données de personnalisation

Info

Publication number: EP3308278B1
Application number: EP16728664.0A
Authority: EP
Inventors: Frank Müller; Steffen Scholze; Matthias SCHWAN; Klaus-Dieter Wirth; Elke FILZHUTH
Original assignee: Bundesdruckerei GmbH
Current assignee: Bundesdruckerei GmbH
Priority date: 2015-06-11
Filing date: 2016-06-06
Publication date: 2022-04-06
Anticipated expiration: 2036-06-06
Also published as: EP4068103A1; DE102015210719A8; DE102015210719A1; WO2016198350A1; EP3308278A1

Claims

Procédé d'actualisation de premières données de personnalisation (140) d'un document de valeur ou de sécurité (110) avec des deuxièmes données de personnalisation (162),
dans lequel

le document de valeur ou de sécurité (110) présente une mémoire électronique (124) non volatile avec un système d'exploitation de carte à puce (118) et un système de données de carte à puce (117), dans lequel le système de données de carte à puce (117) comprend un fichier dédié (126) avec au moins un fichier élémentaire (132), dans lequel le fichier élémentaire (132) présente une taille de mémoire physique prédéfinie,

dans lequel le fichier élémentaire (132) comprend des données de commande (134) et des premières données de personnalisation (140),

dans lequel les données de commande (134) comprennent une condition d'accès cryptographique et une lecture et/ou une écriture ne sont possibles dans le fichier élémentaire (132) que lorsque la condition d'accès cryptographique est satisfaite, et dans lequel

un pointeur (136) est enregistré dans le système de données de carte à puce (117), qui indique la fin logique (141) des premières données de personnalisation (140) dans le fichier élémentaire (132),

dans lequel le document de valeur ou de sécurité (110) présente en outre une interface de communication (112) sans contact pour la réception ou l'envoi de données de personnalisation (162),

dans lequel l'actualisation des premières données de personnalisation (140) avec des deuxièmes données de personnalisation (162) comprend :
• un approvisionnement d'énergie électrique dans le document de valeur ou de sécurité (110) par le biais de l'interface de communication (112) sans contact permettant l'alimentation en énergie du document de valeur ou de sécurité (110) par un terminal (102),

• une authentification réciproque et une preuve d'une autorisation d'accès du terminal (102) et du document de valeur ou de sécurité (110) par le biais de l'interface de communication (112) sans contact, où la preuve de l'autorisation d'accès comprend au moins une transmission d'une information cryptographique du terminal (102) vers le document de valeur ou de sécurité (110), où l'information cryptographique transmise satisfait la condition d'accès cryptographique du fichier élémentaire (132),

à condition d'une authentification réciproque réussie et d'au moins une satisfaction de la condition d'accès cryptographique du fichier élémentaire (132) :
• la réception d'une première instruction d'écriture du terminal (102) pour l'actualisation des premières données de personnalisation (140) dans le fichier élémentaire (132) avec les deuxièmes données de personnalisation (162) par le biais de l'interface de communication (112) sans contact,

dans lequel le système d'exploitation de carte à puce (118) est configuré de telle manière, qu'en réponse à la réception de l'instruction d'écriture, il exécute les fonctions suivantes :
• l'actualisation des premières données de personnalisation (140) par l'écriture des deuxièmes données de personnalisation (162) dans le fichier élémentaire (132),

• la détermination de la fin logique (163) des données de personnalisation actualisées,

• l'établissement d'un pointeur (136) actualisé qui indique la fin logique (163) des données de personnalisation,

• l'enregistrement du pointeur (136) actualisé dans le système de données de carte à puce (117),

• l'établissement d'une réponse avec une confirmation d'écriture et

• l'envoi d'une réponse au terminal (102) par le biais de l'interface de communication (112) sans contact,

dans lequel le fichier dédié (126) comprend une multiplicité de fichiers élémentaires (132, 142) et un tableau de pointeur, dans lequel le tableau de pointeur associe chaque fichier élémentaire (132, 142) à un pointeur (136, 146), lequel indique la fin logique (141, 151) des données de personnalisation (140, 150) enregistrées dans le fichier élémentaire (132, 142) associé.
Procédé selon l'une des revendications précédentes, dans lequel les données de personnalisation actualisées sont plus courtes que les premières données de personnalisation (140), de sorte que la fin logique (163) des données de personnalisation actualisées est disposée avant la fin logique (141) des premières données de personnalisation (140).
Procédé selon l'une des revendications précédentes, où le procédé, avant l'écriture des deuxièmes données de personnalisation (162), exécute les vérifications suivantes :
• la détermination de la longueur du fichier élémentaire (132) nécessaire pour le processus d'écriture,

• la détermination si la longueur du fichier élémentaire (132) correspond au moins à la longueur précédemment déterminée, où le procédé n'est poursuivi que dans le cas où la longueur du fichier élémentaire (132) est supérieure ou égale à la longueur précédemment déterminée.
Procédé selon la revendication 3, dans lequel la détermination de la longueur du fichier élémentaire (132) nécessaire pour le processus d'écriture comprend :
• la détermination de la fin logique (141) des premières données de personnalisation (140) par la lecture du pointeur (136) à partir du système de données de carte à puce (117),

• la détermination de la fin logique prévisible (163) des données de personnalisation actualisées suite à l'actualisation des premières données de personnalisation (140) dans le fichier élémentaire (132) sur la base de la longueur des deuxièmes données de personnalisation (162).
Procédé selon l'une des revendications précédentes, dans lequel la fin des données logique (164) est placée après l'écriture des deuxièmes données de personnalisation (162) à la fin (163) des deuxièmes données de personnalisation (162) par l'établissement du pointeur (136) actualisé, qui indique la fin logique (164) des données de personnalisation actualisées.
Procédé selon l'une des revendications 1 à 4, dans lequel l'instruction d'écriture est une instruction d'écriture d'une suite d'instructions d'écriture,
dans lequel une dernière instruction d'écriture de la suite d'instructions d'écriture comprend un indicateur qui indique que la dernière instruction d'écriture est une instruction d'écriture finale et dans lequel les instructions d'écriture précédentes comprennent respectivement un indicateur qui indique qu'une nouvelle instruction d'écriture suit.
Procédé selon la revendication 6, où le procédé comprend :
avant l'actualisation du pointeur (136), la vérification à l'aide de l'indicateur, si l'instruction d'écriture est une instruction d'écriture finale,

dans le cas où l'instruction d'écriture n'est pas une instruction d'écriture finale,

l'exécution de l'instruction d'écriture suivante dans la suite,

dans le cas où l'instruction d'écriture est une instruction d'écriture finale,

la mise en place de la fin de données logique (164) après l'exécution de l'instruction d'écriture finale à la fin des données de personnalisation actualisées par l'établissement d'un pointeur (136) actualisé qui indique la fin logique (164) des données de personnalisation actualisées.
Procédé selon l'une des revendications 1 à 4, dans lequel la fin des données logique (164), en réponse à une sélection d'une autre donnée et/ou d'une autre liste, est placée à la fin des données de personnalisation actualisées par l'établissement d'un pointeur (136) actualisé qui indique la fin logique (164) des données de personnalisation actualisées.
Procédé selon l'une des revendications précédentes, dans lequel l'actualisation des premières données de personnalisation (140) a lieu par un écrasement avec les deuxièmes données de personnalisation (162) en commençant au début des premières données de personnalisation (140).
Procédé selon l'une des revendications 1 à 8, dans lequel l'instruction d'écriture comprend une valeur de décalage, laquelle détermine un point de départ dans la longueur d'enregistrement du fichier élémentaire (132) pour l'actualisation des premières données de personnalisation (140) et les premières données de personnalisation (140) sont actualisées par un écrasement avec les deuxième données de personnalisation (162), ou
dans lequel les premières données de personnalisation (140) sont lues avant l'actualisation, sur la base des premières données de personnalisation (140) lues, un point de départ est déterminé dans la longueur d'enregistrement du fichier élémentaire (132) pour l'actualisation des premières données de personnalisation (140) et les premières données de personnalisation (140) sont actualisées par l'écrasement avec les deuxièmes données de personnalisation (162).
Procédé selon l'une des revendications précédentes, dans lequel l'instruction d'écriture comprend une instruction pour la conservation d'une partie (140‴) des premières données de personnalisation (140), laquelle est disposée après une partie (140") à actualiser des premières données de personnalisation (140), où la conservation de la partie (140") disposée après comprend :
• après l'écriture des deuxièmes données de personnalisation (162), où les deuxièmes données de personnalisation (162) sont plus courtes que la partie (140ʺ) à actualiser des premières données de personnalisation (140), un décalage de la partie (140") suivante à la fin (163) des deuxièmes données de personnalisation (162),

• la désignation de la fin de la partie (140") suivante en tant que fin logique (164) des données de personnalisation actualisées par l'établissement d'un pointeur (136) actualisé qui indique la fin logique (164) des données de personnalisation actualisées.
Procédé selon l'une des revendications précédentes, dans lequel, au début de l'actualisation des premières données de personnalisation (140), initialement avant le système d'exploitation de carte à puce (118), un drapeau (152) est placé dans la mémoire électronique (124) non volatile du document de valeur ou de sécurité (110), lequel indique le début du processus d'actualisation pour l'actualisation des premières données de personnalisation (140), et où le drapeau (152) est effacé après l'actualisation du pointeur (136), et/ou
en outre, avec un jeton de recharge (105), où les deuxièmes données de personnalisation (162) à recharger sur le document de valeur ou de sécurité (110) sont contenues sur le jeton de recharge (105), où le jeton de recharge (105) est relié avec le terminal (102) au début du procédé, où la liaison entre le terminal (102) et le jeton de recharge (105) est conçue pour une transmission de données entre le terminal (102) et le jeton de recharge (105), où le terminal (102) est conçu pour extraire les deuxièmes données de personnalisation (162) à recharger du jeton de recharge (105) et les transmettre dans la mémoire électronique (124) non volatile du document de valeur ou de sécurité (110), et/ou

dans lequel le document de valeur ou de sécurité (110) contient un certificat avec une clé publique d'une première paire de clés asymétrique, où les deuxièmes données de personnalisation (162) à recharger sur le document de valeur ou de sécurité (110) contiennent une signature cryptographique, où le document de valeur ou de sécurité (110) est conçu pour, après la réception des deuxièmes données de personnalisation (162) à recharger à partir du terminal (102), vérifier la signature cryptographique des deuxièmes données de personnalisation (162) reçues avec la clé publique du certificat, où le document de valeur ou de sécurité (110) efface les deuxièmes données de personnalisation (162) rechargées dont la signature ne peut pas être vérifiée avec la clé publique, de la mémoire électronique (124) non volatile du document de valeur ou de sécurité (110).
Procédé selon l'une des revendications précédentes, dans lequel le terminal (102) présente au moins une mémoire électronique (101), une interface de communication (108, 109) sans contact, un boitier fermé et un dispositif d'insertion mécanique, où le dispositif d'insertion mécanique est conçu pour sécuriser le document de valeur ou de sécurité (110) contre un prélèvement hors du terminal, où le procédé présente en outre ce qui suit :
• l'insertion du document de valeur ou de sécurité (110) dans le dispositif d'insertion mécanique du terminal (102) de sorte que le document de valeur ou de sécurité (110) se trouve totalement à l'intérieur du boitier du terminal (102) après l'insertion,

• la recharge des deuxièmes données de personnalisation (162) sur le document de valeur ou de sécurité (110) pour l'actualisation des premières données de personnalisation (140) par les deuxièmes données de personnalisation (162),

• le rejet du document de valeur ou de sécurité (110) hors du dispositif d'insertion mécanique du terminal (102) à la fin de l'actualisation.